COBIT-ITIL; ITIL v3 Hizmet Tasarımı

Merhaba.. bu makalede ISO ve kalite hakkındaki yazılarıma bir yenisini daha eklemek istedim. ITIL v3 Yaklaşımı Hizmet Stratejisi yazısı ile BT şirketinin vermeyi planladığı hizmetlerle ilgili olarak stratejik altyapının nasıl hazırlandığı hakkında bilgiler vermiştik. Bu yazıda ise şirketin sahip olduğu hizmetlerin tasarımı için ne tür bilgilere ihtiyaç duyulduğunu anlatmaya çalışacağım. Ve yine daha önceki yazının devamı olarak o yazıda kurmuş bulunduğum BT firması üzerinden anlatımı daha sade ve anlaşılır kılmaya çallışacağım.

BİLGİ TEKNOLOJİLERİ ŞİRKETİNDE HİZMET TASARIMI

Bilişim sektöründe hizmet verecek bir firma olarak sistem desteğinden, yazılım geliştirilmesine, kurumsal danışmanlıktan, altyapı geliştirilmesine ve dış kaynak desteğine kadar birçok konuda hizmet portföyüne sahip olmayı amaçlıyoruz.

Vereceğimiz hizmetlerde ITIL v3 standartlarının hakim olmasını istediğimizden dolayı bunların tasarlarken nelere dikkat etmemiz gerektiğini bu yazıda sizlere açıklamaya çalışacağım.

1-      Hizmet Tasarımı ve Amacı

BT friması olarak genel anlamda sistem ve ağ desteği, yazılım desteği ve kurumsal destek gibi hizmetlerimiz bulunmaktadır. Müşteriler bize bu hizmetlerimizden faydalanmak için başvururlar fakat her müşterinin isteği aynı değildir. Bundan dolayı biz hizmetlerimizde bazı değişiklikler geliştirmek zorundayız. ITIL buna Hizmet Tasarımı penceresinden bakmakta ve bize müşterinin ihtiyaç duyduğu hizmetleri uluslararası standartlara göre değiştirmek ve tasarlamak için neler yapabileceğimizi açıklamaktadır.

Hizmet Tasarımı nedir sorusuna aşağıdaki gibi cevaplar verilebilir:

Hizmet Stratejisi’nin kavranarak gerçek hayata uygulanması ve böylece hizmet sağlanmasında kaliteyi, müşteri memnuniyetini ve uygun maliyetli hizmet tedarikini gerçekleştirmek için IT uygulamaları, süreçleri ve politikalarıyla birlikte hizmetlerinin tasarımıdır.

• Hizmet gereksinimlerini bir araya getirmek ve onları eşleştirmektir.
• IT hizmetinin verimli bir şekilde tasarlanması ve böylece lifecycle boyunca geliştirmeye ihtiyaç duyulmamasıdır.

Hizmet Tasarımı aşağıdaki beş maddeyi göz önünde bulundurmanızı önerir:

• Müşterinin talepleri de değerlendirilerek üzerinde anlaşma sağlanmış bir çözümün oluşturulması; bununla birlikte fonksiyonel gereksinimleri, kaynak ayırma politikası ve yeteneklerin gelişiminin tasarlanması
• Hizmet Yönetimi sistemlerinin, araçlarının ve Hizmet Port folyo’ sunun tasarlanması
• Hizmeti başlatmamızı sağlayacak altyapının ve gereksinimlerin tasarlanması
• Hizmeti tasarlayacak, geçişini sağlayacak, uygulayacak ve geliştirecek süreçlerin tasarlanması
• Ölçüm sistemlerinin, metot ve metriklerin tasarlanması

Basit olarak aslında bunlar bizim müşterimizin ihtiyaçlarını karşılamak için oluşturacağımız değerlerin tasarlanmasıdır. Hizmet Tasarımı BT firmasının Hizmet Stratejisi’ne bağlı kalınarak hazırlanmaktadır.

BT firması olarak yeni bir karar aldık ve artık Dış kaynak(Outsourcing) desteği de vermeyi planlıyoruz. Bugüne kadar verdiğimiz sistem, ağ ve kurumsal destek hizmetlerinden edindiğimiz tecrübeleri dış kaynak hizmetinde kullanmak istiyoruz. Yazımızın bu aşamasından sonra BT firması olarak sektör bağımsız tüm müşterilerimize ve hissedarlarımıza değer katacak bir dış kaynak hizmetinin ayrıntılarına gireceğiz. Bu, konuyu teorilikten uzaklaştıracağı gibi konuların anlaşılmasını da kolaylaştıracaktır. Bildiğiniz gibi dış kaynak hizmeti, kendi sektörüyle ilgili olan/olmayan bazı görev ve hizmetlerin alanında uzman firmalar tarafından yapılmasıdır. BT firması bilgi teknolojileri alanındaki uzmanlığını bu uzmanlığa ihtiyaç duyan tüm firmalarda (sektör bağımsız yani enerji sektöründen, tekstil sektöründen, finans sektöründen, gıda sektöründen veya otomotiv sektöründen olan diğer firmalarda) değere dönüştürmek istemektedir.

2-      Dış kaynak Hizmetinin Tasarımının Amaçları

Bir hizmeti tasarlarken öncelikle hedef ve amaçlarımızın belirlenmesi gerekmektedir. Dış kaynak hizmeti için BT LTD şirketinin proje ve hizmet yöneticilerinin belirledikleri amaçlar olarak şunları sıralayabiliriz:

• Dış kaynak hizmetinin şirket amaçlarına uygun olarak düzenlenmesi ve tasarlanması
• Kalite, uyum, risk ve güvenlik gereksinimlerinin belirlenerek buna uygun yaklaşımların tasarlanması
• Görev ve sorumlulukların, metotların, araçların ve çözümü oluşturacak olan teknolojilerin tasarlanması
• Anlaşmaların belirli bir zaman cetveline uygun olarak, kontrat ve ödevlere bağlı kalarak, maliyetlerin ve uzun dönemli hedeflerin dikkate alınarak çeşitli yaklaşımlarla geliştirilmesi
• Destek verilecek olan araç ve yazılımların seçilmesi
• Uygulanacak süreçlerin tasarlanması
• Hizmet Port folyosu’ nun güncellenmesi

Bu amaçlar sayesinde vereceğimiz dış kaynak hizmeti için nelere ihtiyacımız olduğunu ve bu hizmeti nasıl vereceğimizi görmüş oluruz. Dikkat ederseniz Hizmet Stratejisi için “nasıl yapmanız gerektiğinden çok neden yapmanızın gerektiği” sorusuna yanıt verdiğini belirtmiştik. Hizmet Tasarımı ise “hizmeti nasıl vereceğimizi” tanımlayan bir ITIL v3 fazıdır. BT firması olarak bu fazda, vereceğimiz hizmetin ayrıntılarını belirleyerek Hizmet Kataloğuna ekleriz ve müşterilerimize artık böyle bir hizmet verdiğimizi de belirtiriz. İhtiyaç duyan müşteriler bunun uygulanmasını isteyebilirler.

3-      Temel Konular

Hizmet tasarımına geçmeden önce burada kullanabileceğimiz bazı tanımları vermek istiyorum.

• Hizmet Sağlayıcısı (IT Service Provider): Bir veya birden fazla müşteriye hizmet sağlayan organizasyondur. Bu durumda BT LTD olarak biz bir Hizmet Sağlayıcısı konumundayız.
• Tedarikçi (Service Supplier): IT hizmetlerinin yürütülmesi için gerekli ek hizmet ve ürünleri sağlayan firmalardır. Bunlar BT LTD ile müşterinin dışındaki ama hizmeti sürdürebilmek için düzenli desteğine ihtiyaç duyduğumuz firmalardır. Mesela biz bir firmanın IT desteğini veriyor olabiliriz fakat yazıcılarında veya satın aldığı diğer IT ürünlerinde meydana gelen arızaları çözmek zorunda değiliz. Bunun için başka bir firma üzerinden bu desteği vermek durumunda kalabiliriz. Müşteri ile yapılan anlaşmaya göre tedarikçi firmanın seçimi bize bırakılabilir veya müşterinin seçtiği bir tedarikçi ile çalışılabilir.
• Hizmet Tasarım Paketi (Service Design Package-SDP): Bu paket tasarımın her aşamasında üretilir. Her yeni hizmette, hizmetlerdeki temel değişikliklerde, bir hizmetin kaldırılması veya hizmet tasarım paketinin kendisindeki değişikliklerde bu paket yeniden üretilir. Bu paket vereceğimiz hizmetin tasarımıyla ilgili tüm ayrıntıları sonraki aşamalara iletir.

4-      Dış kaynak Hizmetinin Tasarımı

Hizmet Tasarımında bilinmesi gerekenleri şu şekilde sıralayabiliriz:

4P (People, Process, Products, Partners) Önemi: Çoğu tasarım, plan ve proje hazırlık ve yönetim eksikliğinden dolayı çöker. ITIL Hizmet Yönetimi’nin pratik olarak uygulanması 4P’nin etkili ve verimli bir şekilde kullanılması için hazırlık ve plan yapılması demektir.

• 
• verimli bir şekilde kullanılması için hazırlık ve plan yapılması demektir.
• People, bir organizasyonun insan gücünü ve bu kişilerin yeteneklerini tanımlamaktadır. BT LTD olarak bir dış kaynak desteği veriyorsak yardım masasında çalıştıracağımız personelin yetenekleri bizim için çok önemli. Diksiyonu düzgün, bilgisi üst seviyede, analitik ve hızlı düşünebilen, çözüm odaklı gibi yeteneklere sahip insan gücü verdiğimiz hizmetin kalitesini yükseltecektir.
• Process, bir eylemi gerçekleştirmek için sıralanmış adımların bütünüdür. Eylemi gerçekleştirirken kullanacağınız yetenek ve kaynaklar sürecin tasarımında ciddi şekilde değerlendirilmelidir. Girdileri ve çıktıları olan bir sistemdir. Ölçülebilir olması, sizi belirgin bir sonuca götürmesi, müşterilerinizin ve paydaşlarınızın beklentilerini karşılaması, özel bir olaya yanıt vermesi gibi çeşitli karakteristik özellikleri bulunmaktadır. BT LTD olarak bizim de vereceğimiz dış kaynak hizmeti için bazı süreçleri tasarlamamız gerekmektedir. Mesela Olay ve Sorun Yönetimi (Event and Incident Management) tüm müşteriler için uygun olurken Problem Yönetimini her müşteri istemeyebilir. Bu durumda müşterinin ihtiyaçlarını anlamak açısından 4P içerisindeki süreç önemlidir.
• Products, hizmet süresince destek verilen ürünlerdir. Bunlar veri tabanları, ağ izleme araçları, kurumsal uygulamalar ve sistemler olabilir.
• Partners, dâhili veya harici tedarikçiler, imalatçılar veya satıcılar olabilir. Hizmeti sürdürülebilir kılmak içinpartnerleri de doğru şekilde yönetebilmeliyiz.

Hizmet Tasarımının Beş Temel Değeri: En etkin IT Hizmet Sağlayıcıları bu beş değeri bir bütün halinde entegre ederler. Bunların hepsi hizmet tasarım paketi (SDP) final dosyasında yer almaktadır. Bunlar Hizmet Çözümlerinin Tasarımı, Yönetim Sistemleri Tasarımı (özellikle Servis Portfolyo), Teknoloji ve Mimari Tasarımı, Süreç Tasarımı, Ölçümleme Tasarımı olarak sıralanabilir.

Hizmet Çözümlerinin Tasarımı: IT gereksinimlerini karşılamak için dış kaynak desteğine ihtiyaç duyan bir firma için sunduğumuz çözümlerin tasarımını yapmalıyız. Buna öncelikle aşağıdaki özellikleri içeren iş ve servis gereksinimlerini tanımlayarak başlayabiliriz:

• Yeni özellikler ve işlevsellik ihtiyaçları
• İş süreçlerindeki, bağlılıklardaki, önceliklerdeki ve etkilerdeki değişiklikler
• Yükseltilmiş hizmet seviyeleri ve hizmet seviyesi hedeflerinin yeni işverenlere göre düzenlenmesi veya eski hizmetlerin seviyelerinin düşürülmesi.
• Ek bir hizmet yönetimine olan ihtiyacın belirlenmesi

Bu maddeleri tanımlarken Hizmet Stratejisi’ndeki genel kurallara bağlı kalmak zorundayız. Eğer stratejik olarak Fayda-Garanti oranını üst seviyelerde tutmak istiyorsak çözümlerimiz buna uygun olmalıdır. Böylece kaliteyi yüksek tutup farklılığımızı korumuş oluruz. Fakat eğer bu oranı piyasanın ve rakiplerin genel ortalamasına yakın tutmak istiyorsak bu durumda maliyetlerimizi daha da aşağıya çekecek farklı çözümler üretmeliyiz ki yine farklılık oluşturalım. Bu bağlamda Hizmet Çözümünün Tasarlanması BT firması ve müşterileri için ciddi önem taşımaktadır.

Yönetim Sistemleri Tasarımı (Design of Management Systems):

• Hizmet Port folyosu: Merkezi bir kaynaktır ve Service Knowledge Management Systems(SKMS)’ın bir kısmını şekillendirmeli ve Configuration Management Systems(CMS)’ın kayıtlı bir dokümanı olmalıdır. Yönetim Sistemlerinin desteği yeni hizmetlerin içerisinde tasarlanmış olmalıdır. Hizmet Port folyosu bir sağlayıcının hizmetlerindeki iş terimlerini ve tüm süreçleri desteklemek için çok kritik öneme sahiptir. Burada gereksinimler ve BT LTD’nin buna yanıtları tanımlanır. Dış kaynak desteğinde ihtiyaç duyduğumuz tüm süreç ve uygulamalar port folyo içerisinde belirlenir. Fakat Hizmet Stratejisi’nde belirtildiği gibi bu bilgileri müşteriyle paylaşmak zorunda değiliz. Yani bizim yardım masası desteğini verirken ne marka ve model bilgisayar kullandığımızın veya iletişim altyapısını kimden ve nasıl aldığımızın müşteri için pek de önemi olmamalıdır. Fakat bunlar port folyomuzda ayrıntılarıyla belirlenmiş olmalıdır.
• Hizmetlerin Ayrıntıları: Organizasyonlar port folyoyu, içeriğini ve içeriğe erişim izinlerini dikkatli bir şekilde hazırlamalıdırlar. İçerikte şunlar bulunabilir: Hizmetin adı, tanımı, durumu, sınıflandırması, kullanılan uygulamalar, kullanıcılar, kullanılan veriler veya veri şemaları, destek hizmetleri, destek kaynakları, bağımlı hizmetler, anlaşmalar, kontratlar, hizmet maliyetleri, metrikler, vs.

Burada Hizmet Port folyosu’ nu biraz daha aydınlandırmakta fayda var. Önceden de belirttiğimiz gibi port folyo tüm hizmetlerimizin ayrıntılarını içerir. İçerdiği bu ayrıntıların durumlarını maddeler halinde şöyle sıralayabiliriz:

Gereksinimler: Şirketten veya IT biriminden gelen yeni bir hizmet veya mevcut bir hizmetteki değişim için ihtiyaç duyulan bir takım gereksinimlerdir.

Tanımlama: Hizmet Seviyesi Gereksinimlerinin(Service Level Requirements-SLR) oluşturulması ve yeni bir hizmetin değerlendirilmesi, tanımlanması ve dokümante edilmesi için ihtiyaç duyulan bir takım gereksinimlerdir.

Analiz Etme: Yeni bir hizmetin analiz edilmesi ve öncelikle dirilmesi için ihtiyaç duyulan bir takım gereksinimlerdir.

Onaylama: Yeni bir hizmetin sonuçlandırılması ve yetkililerin belirlenmesi için ihtiyaç duyulan bir takım gereksinimlerdir.

Anlaşma: Yeni bir hizmet üzerinde anlaşma sağlanması, kaynak ve bütçe ayrımının yapılması için ihtiyaç duyulan bir takım gereksinimlerdir.

Tasarlama: Hizmetin ve ilgili bileşenlerinin gerektiği durumlarda tasarlandığı ve uygulandığı hizmetlerdir.

Geliştirme: Hizmetin ve ilgili bileşenlerinin uygulanabilir olduğu durumlarda geliştirildiği ve izlendiği hizmetlerdir.

Oluşturma: Hizmetin ve ilgili bileşenlerinin oluşturulduğu hizmetlerdir.

Test Etme: Hizmetin ve ilgili bileşenlerinin test edildiği hizmetlerdir.

İzleme: Hizmetin ve ilgili bileşenlerinin işleyişinin izlendiği hizmetlerdir.

Uygulama: Hizmetin ve ilgili bileşenlerinin operasyonel olarak yürütüldüğü hizmetlerdir.

Askıya Alma: Hizmetin ve ilgili bileşenlerinin askıya alındığı ve artık desteğinin kesildiği hizmetlerdir.

Hizmet Port folyosu; vermeyi düşündüğümüz hizmetleri(Service Pipeline), hali hazırda verdiğimiz hizmetleri(Service Catalogue) ve artık desteğini kestiğimiz hizmetleri(Retired Services) içermektedir. Fakat müşteri bunlardan sadece Hizmet Kataloğu ’nu görmektedir. Yukarıdaki maddelerden Tasarlama, Geliştirme, Oluşturma, Test Etme, İzleme ve Uygulama maddeleri katalog içerisindedir. Dolayısıyla müşteri askıya alınmış hizmetleri göremez veya hizmeti oluştururken ne tür analizler yaptığımızı veya bunları neye göre onayladığımızı bilmek zorunda değildir.

Teknoloji ve Mimari Tasarımı: Mimari Tasarımı IT politikalarının, stratejilerinin, mimarilerinin,dizaynlarının, dokümanlarının, planlarının ve süreçlerinin geliştirilmesi ve sürdürülmesidir. Yalnızca IT altyapısı, ortamı, verisi, uygulaması ve harici hizmetleri gibi teknoloji bileşenlerini içermemekte aynı zamanda bu bileşenlerin yönetimini de içermektedir. Kurumsal Mimari, tüm bu bileşenlerin şirket hedeflerini gerçekleştirmek için bugünde ve gelecekte nasıl ilişkilendirileceğini göstermelidir.

Süreç Tasarımı:

Genel Süreç Elementleri: Bir süreç her zaman bir hedefler kümesinin etrafına dizilir. Sürecin temel çıktıları amaçlar tarafından yönlendirilmelidir ve her zaman süreç ölçümlerini, raporlarını ve süreç geliştirme yöntemlerini içermelidir. Bunlar Hizmet Tasarımında standartlar, şablonlar ve politikalar oluşturmak için oldukça önemlidir.

Sürecin Tanımı: Bir süreç:

• Özel bir amacı gerçekleştirmek için tasarlanmış eylemler bütünüdür.
• Bir veya daha fazla girdiyi tanımlanmış bir çıktıya dönüştürür.
• Çıktıyı güvenli bir şekilde sağlamak için tüm rolleri, sorumlulukları, araçları ve yönetim kontrollerini içerir.
• Eğer gerekirse politikaları, standartları, kılavuzları, eylemleri, prosedürleri ve iş tanımlarını belirleyip revize edebilir.

Süreç tasarımı ve seçimi ayrı bir makalede anlatılacak kadar kapsamlı bir konudur. Fakat burada genel hatlarıyla özellikle BT firmasının dış kaynak desteğine özel olarak üzerinde durmak istiyorum. Her ITIL fazına özel farklı süreçler bulunmaktadır. Bunlar bulunduğu faza uygun görevlerin yerine getirilmesi için oluşturulmuş süreçlerdir.Hizmet Tasarımı için var olan süreçlerden bir kısmını örnekleriyle sıralamak gerekirse; Hizmet Kataloğu Yönetimi Süreci ile verdiğimiz hizmetin ayrıntılarını müşteriye sunarız, Hizmet Seviyesi Yönetimi Süreci ile müşteri ve/veya partnerlerimizle aramızdaki hizmet seviyelerinin oluşturulmasını sağlarız, Kapasite Yönetimi Süreci ile yeni veya değişen hizmetlerdeki taleplerin karşılanması, hizmetin yüküne yönelik ihtiyaçlar ve hizmette kullanılan araçların ve teknolojilerin gereksinimleri ile ilgili yönetimi sağlarız, Erişilebilirlik Yönetimi Süreci ile vereceğimiz hizmetin her durumda erişilebilir olması için gerekli desteği sağlarız. Bir dış kaynak desteğinde bu süreçlerin neredeyse tümüne ihtiyaç vardır. Fakat bazı durumlarda şirketler bu süreçlerin bir kısmını kendileri yürütmekte ve sizden sadece ihtiyaç duydukları diğer süreçlerin yönetimi konusunda destek istemektedirler. Bu gibi durumlarda iletişimin güçlü olması ve ihtiyacın doğru şekilde belirlenmesi önemlidir.

Ölçümleme Tasarımı:

• Her tasarımda çözüm için şunlar gereklidir:
  • Amaca uygunluk
  • Uygun kalite seviyesi
  • RTF (http://www.rightfirsttime.org/) ve beklenen hedefleri karşılamak
  • Çözümün uygulanması sonrasındaki geri dönüşleri azaltmak
  • Müşteri ve şirket açısından verimi ve etkinliği netleştirmek
• Ölçüm yöntemleri ve metrikler bu gereksinimleri karşılamalıdır.
• Bunlar müşteri, şirket ve kullanıcılar açısından süreç tasarımının ve başarısının kalitesini karşılamalıdır.
• Üzerinde anlaşılmış olan gereksinimleri karşılamak için sağlanan sonuçların yeterli olması.
  Unutmayın! Eğer Ölçemezseniz, Onu Yönetemezsiniz!

Hizmetlerin vazgeçilmezi ölçümlemeleridir. Doğru şekilde ölçemediğiniz bir hizmet sizin için öncelikle verim ve kalite kaybı sonrasında müşteri kaybı anlamına gelir. Müşteriye verilen hizmetlerin doğru şekilde ölçümlenebilmesi hizmetin gidişatını görmeniz ve gerekli düzeltmeleri yapmanız açısından önemlidir. Ayrıca bazı durumlarda yaptığınız ölçümlerden çıkan sonuçlara göre çeşitli iyileştirmeler sayesinde müşteriden ek fayda sağlamanız da mümkündür. Bir dış kaynak desteğinde ölçülmesi gereken en önemli kriterlerden biri başarı oranıdır. Müşteriden aldığınız sorunların ne kadarını hizmet seviyesi anlaşmasına uygun olan sürelerde çözdüğünüz, ne kadarını sonraki seviye destek grubuna aktardığınız ve ne kadarını kaçırdığınız önemlidir. Çalışanların performanslarının ölçülmesi de önemlidir. Bu, size kaynak ihtiyacı ve eğitim gereksinimleri konusunda fikir verecektir.

b) Hizmet Kaynak Stratejileri: IT Hizmetlerinin ulaştırılması konusunda çeşitli kaynak stratejileri oluşturulmuştur. Bunlar kapasite ve kaynakların uygun şekilde kullanımı için gereklidir. Her birinin avantajları ve dezavantajları mevcuttur. Anlaşmalar off-shore ve on-shore durumlarında sağlanabilir. On-shore durumunda her iki firma aynı ülkede iken, off-shore durumunda organizasyonlar farklı ülke veya kıtada bulunurlar.

–  İç kaynak (Insourcing), Dış kaynak (Outsourcing), Çift kaynak (Co-sourcing): Hizmet Sağlayıcısının durumuna göre yapılan ayrımdır. Eğer şirketin kendi bünyesindeki bir IT birimi şirketin diğer birimlerine IT desteği veriyorsa buna iç kaynak desteği denir. Hizmet sağlayıcısı eğer dış bir firma ise dış kaynak; her ikinin bulunduğu durumlarda ise çift kaynak desteği olarak tanımlanabilir. Çift kaynak desteği ile firma IT ihtiyaçlarının bir kısmını dış kaynak firmasından alırken bazı destekleri ise kendi iç birimlerinden almaktadır.

– Partnerlik veya Çoklu kaynak (Multisourcing): Bu tür desteklerde bir veya birkaç firma çeşitli IT hizmetlerinin karşılanması için bir araya gelirler. Tedarikçi desteğinden farklı olarak iki firma aynı anda müşteriyle masaya oturur ve anlaşma yapar.

– Kurumsal Süreç Dış kaynağı (Business Process Outsourcing-BPO): Bu destek ile firma ihtiyaç duyduğu veya duyabileceği tüm hizmetleri tek bir firmadan alır. Bunlar muhasebe yönetiminden tutun da yardım masası desteğine kadar her türlü hizmeti kapsar.

– Uygulama Hizmet Tedariki (Application Service Provision-APO): Bu destek ile müşteri ihtiyaç duyduğu bilgisayar tabanlı desteği internet üzerinden veya özel bir yazılım aracılığıyla alır.

– Bilgi Süreç Dış kaynağı (Knowledge Process Outsourcing-KPO): Bu tür hizmetlerde müşteri bazı bilgileri toplaması için dış firmadan destek istemektedir. Bunlar genellikle veri analizleri, araştırmalar, Pazar araştırmaları ve yatırım araştırmalarını kapsar.

BT firmasının vereceği dış kaynak hizmeti için buradaki maddelerin bir kısmı geçerli olmayabilir fakat yine de biz bunu burada açıklayıp farklı örneklerle nasıl kullanılabileceğini aktarmaya çalıştık. Siz şirketinizin vereceği hizmetleri tasarlarken bunlardan bir kısmını elemek zorunda kalabilirsiniz.

Konuyu özetlemek gerekirse Hizmet Tasarımı ile vereceğimiz hizmetlerin tasarımı yapılır, ayrıntıları belirlenir ve dokümante edilir. Maddeler halinde bunları şöyle listeleyebiliriz:

1. Hizmeti tasarımında şirketin stratejilerine uymaya çalış
2. 4P (People, Process, Product, Partner) tanımlarının içini doldur, kapsamlarını ve önceliklerini belirle.
3. Etkili, verimli ve rakiplerden farklı hizmet çözümleri geliştir.
4. Hizmet Port folyosunun ayrıntılandırır. Tüm hizmetlerin her türlü ayrıntısı içerisinde bulunsun.
5. Tüm süreçler hakkında bilgi sahibi ol. Süreçlere özel iyi uygulamaları ve örnekleri incele. Hizmet için gerekli süreçleri tespit et.
6. Seni amaçlarına götüren ve analizlerini kolaylaştıran ölçümlemeleri yap.

Özellikle kalite ilgili makalelerde mümkün olduğu kadar tanımlamalardan uzak dursamda malesef bazen bazı tanımları yapmak durumunda kalıyorum bu makalede bu biçimdeki makalelerden sayılabilir. Ancak dışarıdan bakıldığında basitmiş gibi görünen bir işin ne kadar grift olduğunu göstermek açısından  bu bölümde de biraz fırtınası yapmak durumunda kaldım. ITIL ve COBIT konusundaki bir başka makale de görüşmek dileği ile umarım faydalı olmuştur.

COBIT-ITIL; ITIL v3 Hizmet Stratejisi

ITIL(Information Technologies Infrastructure Library) veya BTAK(Bilgi Teknolojileri Altyapı Kütüphanesi) Hizmet Yönetimi için verimliliği ve etkinliği üst seviyelere çıkaran bir kalite yaklaşımı sunar. Zaten adında ne içerdiği ve ne olduğu ile ilgili gerekli bilgiler mevcut. Fakat şunu belirtmekte fayda var ki ITIL size ne yapmanız gerektiğini değil neler yapabileceğinizi göstermeyi amaçlar. Bir metodoloji olarak hizmet yönetimi için bilgi kaynağıdır.

ITSM(Information Technologies Services Management) veya BTHY(Bilgi Teknolojileri Hizmet Yönetimi) ise ITIL yaklaşımlarını uygulamaya çalışan, yorumlayan veya benzeten yönetimdir.

Hizmet Stratejisi ve Amacı;

Strateji belirli bir amaca ulaşmak için kullanılan çeşitli eylem planlarıdır. Hizmet Yönetimi’ni başarılı şekilde yapabilmek için uygulamamız gereken kurallar ve standartlardır. Hizmet Strategisi bir hizmetin nasıl yapılması gerektiğinden çok neden yapılması gerektiğinin cevabını verir.

Hizmet Stratejisi aşağıdaki maddelerin ışığında Hizmet Yönetimi için amaçlar, kurallar ve klavuzlar oluşturur:

a-Amaçların ve performans beklentilerinin müşteri hizmetlerine veya pazardaki ihtiyaçlara göre ayarlanması

b-Fırsatların tanımlanması, seçilmesi ve önceliklendirilmesi

c-Şirketin Hizmet Portfolyo’suyla ilgili risklerin ve maliyetlerin kontrol edilebilir bir durumda olmasının sağlanması

d-Operasyonel etkinliğin ve ayırt edici şekilde belirgin bir performansın yerleştirilmesi

e-Hizmet Yönetiminin tasarlanması, geliştirilmesi ve uygulanması konusunda sadece organizasyonel yetenekler açısından değil stratejik değer olarak da klavuzluk yapması

f-Statejiyi okuyana, hizmetin nasılını düşünmesinden önce nedenini düşünmeye teşvik etmesi

BT şirketi yöneticileri stratejilerimizin amaçlarını şu şekilde sıralamaktadırlar;

-Uzun bir süre boyunca büyümeyi ve operasyonu sağlar.

-Hizmet yönetimini stratejik bir değere dönüştürür.

-Yönetilen çeşitli süreçler, sistemler ve hizmetlerle birlikte bunların destekledikleri amaçları, stratejileri veya iş modelleri arasındaki ilişkileri görür.

Aşağıdaki sorulara klavuzluk yapar:

• Kime ne gibi hizmetler sunabiliriz?
• Alternatiflerle yarışmak için kendimizi nasıl farklılaştırabiliriz?
• Müşterilerimiz için gerçekten nasıl bir değer oluşturabiliriz?
• Hissedarlarımıza nasıl değer katarız?
• Stratejik yatırım için neler yapmalıyız?
• Finansal Yönetim, şeffalığı ve değer aşımı kontrolünü nasıl sağlar?
• Hizmet Kalitesini nasıl tanımlamalıyız?
• Hizmet Kalitesini geliştirmek için ne tür yollar seçmeliyiz?
• Service Portfolio için verimli kaynak ayrımını nasıl yapabiliriz?

Mesela sistem ve network desteği veren bir firmanın pazardaki fırsatları değerlendirmek için yazılım ve kurumsal yönetim uygulamaları konusunda idari ve teknik konularda desteğe ihtiyacı var. Bu durumda yukarıdaki maddeleri bu hizmet için değerlendirmelisiniz.

Temel Konular;

Hizmet Stratejisi geliştirirken üzerinde durulması gereken bazı önemli konular ve tanımlar bulunmaktadır. BT Ltd. olarak biz de bu konuları tam olarak kavramak istiyoruz. Şirket stratejisi gereği bu temel konuların farkında olmalı ve bunların tanımlarını da içeren bir dokümantasyon çalışması yapmalıyız. ITIL sertifikasyonuna sahip bir yönetici bu tanımlamalar sayesinde şirket stratejilerini uluslararası standartlara göre yönetebilecek ve hizmetleriyle ilgili kararları daha kolay alabilecektir.

Hizmet Stratejisi Başlıkları
Fayda ve Garanti	Hizmet Değerleri
Hizmetler Yoluyla Değer Oluşturmak	Hizmet Portfolyosu
Hizmet Kataloğu	Kurumsal ve Teknik Kataloglar
Fizibilite Çalışması(Olurluk İncelemesi)	Risk

a- Fayda(Utility) ve Garanti(Warranty) : Müşterinin değere bakış açısını anlamak için Fayda ve Garanti önemli anahtar tanımlamalardır. Müşterilerimize “Size sunduğumuz faydalar şunlardır” ve “Hizmetlerimizi şu şekilde garanti altına alıyoruz” diyebilmek için bu tanımları bilmeliyiz. Fakat bunu yaparken maliyetlerimizi ve kaynaklarımızı da iyi şekilde analiz edip doğru noktayı seçebilmeliyiz. Bu, hizmetten hizmete değişebilir. Kimi hizmetlerde müşteriye daha fazla fayda sağlarken düşük garanti verebiliriz. Tersi de olabilir fakat ideal olan hem faydanın yüksek hem de garantinin yüksek olduğu bir hizmet standardına erişebilmektir. Müşteriler sizden yüksek fayda ve yüksek garanti isteyecekler veya kendileri için hangisi daha önemli ise onun yüksek olduğu şirketleri/hizmetleri tercih edeceklerdir. Fayda ve Garanti birbirinden bağımsız düşünülemez. Kimse size sürekliliğini veya erişilebilirliğini garanti etmediğiniz bir hizmet için para ödemez. Veya tam tersini düşünürsek müşteriye hizmetin hiçbir zaman kesilmeyeceğini garanti edebilirsiniz ama verimsiz ve yavaş bir hizmet için anlaşma yapamazsınız. Önemli olan müşterinin ihtiyaçlarını doğru şekilde anlayıp ona uygun fayda ve garanti sağlayabilmektir.

Yeni bir hizmete giriş aşamasında da kullanılır. Mesela bir sistem ve network desteği verdiğiniz firmanızda pazardaki fırsatları değerlendirmek için yazılım ve kurumsal yönetim uygulamalarının desteğini de vermek istiyorsunuz. Bu durumda yukarıdaki maddeleri bu hizmet için değerlendirmelisiniz.

b- Hizmet Değerleri: Bunlar hizmet sağlayısıcının yeteneklerini ve kaynaklarını ifade eder. Yetenekler bir aktivitenin yerine getirilmesini sağlayan kazanımlardır. Bunlar soyut değerlerdir ve Yönetim, Organizasyon, Süreçler, Bilgi ve kısmen de olsa kişiler bu gruba eklenebilir. Kaynaklar ise somut kavramlardır ve yeteneklere göre daha kolay elde edilebilirler. Bu gruba BT Altyapısı, Uygulamalar, Yazılı bilgiler, Sermaye ve kısmen de olsa kişiler eklenebilir. Kişiler bir şirkette yetenek olarak sayılabileceği gibi kaynak olarak da sayılabilir.

Yetenekler	Kaynaklar
Yönetim	Finansal Kaynak
Organizasyon	Altyapı
Süreçler	Uygulamalar
Bilgi (Knowlegde)	Bilgi (Information)
Kişiler

Tüm yetenek ve kaynaklar müşterilere sunulan hizmetlerde değer oluşturmak için kullanılabilir. Yetenekler zamanla gelişir ve deneyime bağlıdır. Organizasyonlar bilgiyi ele geçirir ve onunla yönetim sistemlerini ve süreçlerini beslerler. Fakat yetenekler kolayca kopyalanabilir, taşınabilir ve kaybedilebilir. Dolayısıyla Hizmet Sağlayıcılar müşterilerini ellerinde tutmak için benzersiz ve kopyalanması zor yetenekler geliştirme veya ellerindeki yetenekleri koruma ihtiyacındadırlar. Hizmetin büyüklüğü veya performansı organizasyonun yetenek ve kaynak limitleriyle doğru orantılıdır.

c- Hizmetler Yoluyla Değer Oluşturmak: Değer yalnızca müşteriye verilen hizmetin çıktısı değildir. Aynı zamanda müşterinin beklentilerine de bağımlıdır. Müşteri her zaman yüksek fayda ve yüksek garanti bekler. Dolayısıyla değer, fayda yani amaca uygunluk tanımını ve garanti yani kullanıma uygunluk tanımını içermektedir. Hizmet sağlayıcısı olarak şirketlerin üzerindeki sorumluluk büyüktür. Müşterilerin ihtiyaçlarını karşılayacak hizmetleri vermek ve algılarını üzerlerine çekmek zorundadırlar. Bunun için şu soruların yanıtlarından emin olunması gerekmektedir.

1. Bizim işimiz nedir?
2. Müşterilerimiz kimlerdir?
3. Müşteri beklentileri nelerdir?
4. Hizmetlerimiz kimlere bağımlıdır?
5. Hizmetlerimizi nasıl kullanırlar?
6. Hizmetlerimiz onlar için neden değerlidir?

Hizmetler üç gruba ayrılır. Birincisi genel hizmetlerdir ve bunlar her hizmet sağlayıcısının sunduğu hizmetlerdir. İkincisi  beklenen hizmetlerdir ve genel olarak sunulan hizmetlerin ötesinde daha kaliteli hizmetlerdir. Üçüncüsü ise ek hizmetlerdir ve bunlar müşterinin hiç ummadığı sürprizlerdir.

d-Hizmet Portfolyosu: Hizmet sağlayıcı şirket olarak ne tür hizmetler verileceğini liste halinde sıralamak işlerin ve hizmetlerin daha düzenli biçimde yürütülmesine imkan verir. Bunun için oluşturulan dokümantasyona Hizmet Portfolyosu denir. Bu doküman ile vermesi düşünülen hizmetlerin, hali hazırda verilen hizmetlerin ve artık desteği verilmeyen hizmetlerin bir listesini tutulur. Böylece hizmetlerin durumu ve geleceği hakkındaki ve müşterilerin ihtiyaçlarının karşılanması konusundaki karar alma süresi kısaltmış olur. Hizmet portfolosu ile ilgili olarak;

1. Tüm hizmetleri içerir ve üç kategoriye ayrılır: Çözüm getirilmiş veya geliştirilmiş hizmetler (Service Pipeline), işleyen veya işlemeye uygun hizmetler (Service Catalogue) ve artık desteği kaldırılmış hizmetler (Retired Services)
2. Karar almak için bir başvuru kaynağıdır. Farklı hizmetlerinizin artılarını eskilerini görebileceğiniz ve karşılaştırabileceğiniz bir ortam sunar.
3. Mevcut hizmetlerinizin kontratları, sorunları, faydaları gibi tüm bilgilerini, yeni hizmetlerin gelişim durumlarını ve iyileştirme çalışmalarının durumlarını görebileceğiniz bir kaynaktır.
4. Yöneticilere yatırımlarını önceliklendirme ve kaynak ayrımını oluşturmada yardımcı olur.

e-Hizmet Kataloğu: Bu katalog ile desteği verilen tüm hizmetleri kayıt altına alınır. Müşteriler Hizmet Portfolyosu içerisinden sadece Hizmet Kataloğu’nu görebilirler. Müşteri buradaki listeden istediği hizmeti satın alabilir. Burada yapılacak bir değişiklik için Hizmet Geçişi(Service Transition) altında işlenecek olan Değişim Yönetimi yetkililerinin onayı gerekmektedir. Ayrıca bu katalog Hizmet Stratejisi açısından oldukça önemlidir çünkü hizmet sağlayıcısının vitrini bu katalogdur.

Hizmet Portfolyosu İçeriği	Hizmet Kataloğu İçeriği
Tanımlamalar	Hizmetler
Teklifler	Destek verilen ürün ve hizmetler
Fizibilite çalışmaları	Kurallar, yönergeler
Stratejik öncelikler, önemler	Talepler ve talimatları
Riskler	Destek kuralları ve durumları
Öneriler	Erişim noktaları ve diğer kontaklar
Maliyet ve ücretlerlendirme değerleri	Ücretlendirme ve geri ödeme bilgileri

Müşteriler hizmet sağlayıcının gelecekte ne vaad ettiğinden ziyade an itibari ile ne tür hizmetler verdiğiyle ilgilenmektedir.

f-Kurumsal ve Teknik Hizmet Kataloğu: Kurumsal Hizmet Kataloğu müşterilere sağlanan tüm hizmetlerin ayrıntılarını içerir. Bunlar hizmet verilirken ilişki içerisinde bulunulacak kurumsal birimler ve iş süreçlerini kapsamaktadır. Müşteri bu kataloğa göre hizmet alacağı firmayı seçmektedir. Teknik Hizmet Kataloğu ise müşteriye sunulan hizmetlerin tüm teknik altyapılarını içerir ki bunlar müşteriyle paylaşılmaz. Hizmet saylayıcı firmayı diğerlerinden farklı kılan da zaten bu teknik ayrıntılardır. Burada hizmetin paylaşıldığı firmalar, diğer bileşenler, destek servisleri gibi ayrıntılar bulunabilir.

g-Fizibilite Analizi (Olurluk İncelemesi): Burada çeşitli analiz yöntemleri kullanabilir.Bunu yapmamızın nedeni vereceğimiz hizmetin bize ne katacağını önceden görebilmektir. Veya bunu üst yönetime kabul ettirebilmektir. Bunu çeşitli yararları vardır:

• Yatırım tutarı hakkında ön bilgi verir.
• Kesin projenin yüksek maliyetlerinden tasarruf sağlayarak ön eleme olanağı sağlar.
• Kredi temini, vergi/yatırım indirimi sağlamada belge niteliği taşır.
• Planlı yönetim uygulamalarına alışkanlık yapar.

Fizibilite analizinde ekonomik araştırma yapılır ve pazarın verdiğimiz hizmete uygun olup olmadığı, uygun değilse ne tür hizmetlerin daha uygun olduğu, hizmetin öncelikle kimlere verilmesi gerektiği ve nasıl verilmesi gerektiği gibi ayrıntılar belirlenir. Teknik araştırma yapılır ve hizmeti sağlarken kullanılacak teknoloji veya yazılım seçilir. Finansal analiz yapılır ve yatırım tutarı hesaplanır, kara geçiş analizi çıkarılır, proforma gelir-gider tabloları hazırlanır, fon kaynakları belirlenir, net bugünkü değer, yatırım geri dönüşü ve iç verim oranı gibi değerler hesaplanarak değerlendirme yapılır. Bunların sonunda eğer hizmet öncelikle hizmet sağlayan firmaya, ortaklarına ve sonrasında müşterilerine değer katıyorsa bu iş oluyor demektir. Olurluk incelemesi işte budur.

h-Risk: Belirsizlik olarak tanımlanabilir. Yapılacak bir hizmetin çıktısının pozitif mi yoksa negatif mi olduğunu tahmin edememe durumudur. Hizmetin sonunda fırsat da çıkabilir ciddi bir tehlike de doğurabilir. Riske iki farklı açıdan bakılabilir: Risk Analizi ve Risk Yönetimi. Risk analizi ile onu tanımlar, sorumlularını tahmin etmeye çalışır, değerlendirir ve uygun bir seviye belirlenerek artık risk olmaktan çıkarılır. Fakat bu yeterli değildir ikinci faz olarak risk yönetimi ile bunu doğru şekilde yöneterek sistemimizi buna uygun hale getirecek önlemler alınmalıdır. Riski doğru şekilde analiz edip iyi şekilde yönetmek firmaları belirsizlikten kurtaracak ve hizmet kalitesini artıracaktır.

Konuyu özetlemek gerekirse ITIL v3 fazlarından ilki olan Hizmet Stratejisi ile yeni hizmetlerimiz için bazı temel bakış açılarını oturtmak amaçlanmaktadır.

Bunlar şöyle sıralanabilir;

1-      Pazar araştırması yapılıp, hizmet sektörünü belirlenmesi, yatırım kaynaklarını hesaplanması,

2-      Müşterilerin tanınması, ihtiyaçlarının belirlenmesi, güçlü ve güçsüz yanlarını ortaya koyulması,

3-      Fırsatların ortaya çıkarılması, risklerin tahlil edilmesi, kısıtlarının ve dezavantajlarının belirlenmesi,

4-      Hizmet yönetiminin veya firmanın diğerlerinden ayıracak bir performans seviyesine yerleştirilmesi,

5-      Hizmetin nasıl verilmesi gerektiğini değil neden verilmesi gerektiğini açıklanması,

6-      Amaçların belirlenmesi, doğru soruları sorulması ve yanıtlarınının verilmesi,

7-      İster tüm hizmetler için ortalama bir Fayda-Garanti noktası, ister her hizmet için ayrı noktalar belirlenmesi

8-      Hizmet değerlerinin yani yetenek ve kaynaklarının korunması için çözüm önerilerini bulunması ve daha da geliştirilmesi,

9-      Değer oluşturulması için nelerin yapılması gerektiğinin belirlenmesi ve soruların yanıtlanması,

10-   Hizmet portfolyonun ayrıntı biçimde tasarlanması. Kategorilere ayrılması ve eski hizmetler ile yeni hizmetlerin karşılaştırılmasını sağlayacak bir şablonun hazırlanması,

11-   Hizmet kataloğunun müşteriler ile paylaşımı, hizmet saylayıcı firmayı diğerlerinden ayıran bilgilerin burada bulundurulmaması,

12-   Kurumsal ve Teknik Hizmet Katalogların hazırlanması,

13-   Fizibilite analizinin farklı bakış açılarıyla hazırlanması. Hizmet yatırımına giden yolları belirlenmesi.

14-   Risklerin analiz edilmesi ve çözüm yollarının bulunması. Riski çok olanın alanın daha fazla fayda getirebileceğini unutulmaması,

15-   Yatırım kararını alınması veya yatırımdan vazgeçilmesi. Kararsız kalınmaması.

Şu ana kadar Hizmet sağlayıcı bir şirketinin vereceği hizmetlerle ilgli olarak stratejik altyapı hakkında bilgiler verdik. Hizmetlerin ne olduğunun bu aşamada pek de bir önemi yok. Çünkü Hizmet Stratejisi hizmetlerin nasıl vermesi gerektiğini değil neden vermesi gerektiğini anlamanız konusunda yardımcı olur. Her ne kadar tanımlar vermekten kaçınılsada  bu bölümde çok fazla beyin fırtınası yapmak durumunda  kaldım. ITIL ve COBIT konusundaki bir başka makale de görüşmek dileği ile umarım faydalı olmuştur.

COBIT Denetimleri Açısından Bilgi Güvenliği

Merhaba bu makalede Bilgi Güvenliğine COBIT açısından genel bir bakış yapmayı planladım.

 

Bilindiği gibi; Bilgi Güvenliği bilginin korunmasını amaçlar. Peki, Bilgi nasıl korunur? Bilginin korunması için bütünlüğü (integrity), gizliliği (confidentiality) ve erişilebilirliliği (availability) özelliklerinin her zaman sağlanıyor olması gerekir. Bilginin üretilmesinden imha edilmesine kadar geçen süreçte güvenliğinin sağlanması için BT Güvenliği, Yedekleme, Fiziksel Güvenlik vb kontrollerinin de devreye alınmış olması gerekmektedir. Bu açıdan bakıldığında BT Güvenliği, Bilgi (Veri) Güvenliği’nin sağlanması için etkenlerden sadece bir tanesidir.

 

Kurumlar verilerinin güvenliğini sağlamak için BT altyapılarına çeşitli güvenlik ürünleri (Firewall, IPS vb) konumlandırmakta, sızma testleri ve zaafiyet analizleri yaptırmaktadırlar. Yasal düzenlemelere ve standartlara uyum için düzenli periyotlarda denetlenen firmalar, denetlemeye hazırlanırken çoğu zaman bu teknik ayrıntıların için kaybolup gitmekte Bilgi Güvenliği ve Bilgi Teknolojileri Güvenliği kavramlarını birbirine karıştırmaktadırlar.

Denetimlerde başarılı olmak için sadece en uygun teknolojiyi konumlandırmak yeterli değildir. Güvenlik denetimlerine denetim açısından bakmak gerekmektedir. Denetimde en temel konu, üründen ziyade BilgiGüvenliği’nin nasıl yönetildiğidir. Denetlenen kurum, mevcut verilerini değerlendirmiş / sınıflandırmış /önceliklendirmiş ve varlıklar için tehdit-risk-kontrol matrisi oluşturarak gerekli kontrolleri devreye almış olmalıdır.

 

Bu kontroller Firewall, IPS gibi teknolojilerinin yanısıra kontrollü giriş kapıları, kapalı devre tv sistemi gibi fiziksel güvenlik öğelerini de içermelidir. Ayrıca, verilerine erişim için gerekli süreçleri de etkin bir şekilde işletiyor olması gerekmektedir.

 

COBIT Bilgi Güvenliği Denetimleri için yukarda bahsettiğimiz konuların kırılımlarını aşağıdaki kontrol listesinde bulabilirsiniz:

Bilgi Güvenliği Yönetimi

o     Bilgi Güvenliği Politikası, İş Stratejisi’ne uygun mudur?

o     Yönetim Kurulu onaylı bir Bilgi Güvenliği Politikası var mıdır? Paydaşlara duyurulmuş mudur?

o     Mevcut bilgi güvenliği durumu Yönetim ve iş Birimleri’ne iletilmekte midir?

o     BT Varlıkları için varlık değerlendirmesi/sınıflandırması/önceliklendirilmesi yapılmış mıdır?

 

Bilgi Güvenliği Planı

o     Güvenlik Planı, Standartları, Prosedürleri, Klavuzları var mıdır?

o     Yasal Mevzuat ve iş gereksinimlerine uygun mudur?

o     Bilgi Güvenliği Farkındalık Eğitimleri yapılmakta mıdır?

İnsan Kaynakları Yönetimi

o     İş başlangıcı öncesi gerekli kontroller yapılmakta mıdır? (sicil, referans vb)

o     Tüm kullanıcılarla “Bilgi Gizliliği Anlaşmaları”, “Uyum ve Şifre Taahhütnameleri” imzalanmış mıdır?

o     Kullanıcıların politika, standartlara ve diğer dokümanlara uyacağını ifade ettiği kullanıcı beyanı mevcut mudur?

Kimlik Yönetimi

o     Kullanıcı aktivitelerini izlemek için altyapı var mıdır?

o     Sistemlerde her kullanıcı için ayrı hesap tanımlanmış mıdır?

o     Tanımlı kullanıcı haklar “En Az Haklar Prensibi”ne uygun mudur?

o     Erişim taleplerini karşılayan yetkilendirme standartları/klavuzları var mıdır? Süreç nasıl işletilmektedir?

o     Kullanıcı parolaları nasıl belirlenmekte, iletilmekte, saklanmaktadır?

o     3. Taraf kullanıcı hesapları nasıl yönetilmektedir?

Kullanıcı Hesapları Yönetimi

o     İş Başlangıcı, İşten Ayrılma ve Transfer süresinde kullanıcı hesapları nasıl kontrol edilmektedir?

o     Kullanıcı yetkilendirme kılavuzları mevcut mudur?

o     Erişim hakları, Veri Sahibi tarafından mı verilmiştir? Mevcut haklar, düzenli aralıklarla Veri Sahibi tarafından gözden geçirilmekte midir?

o     Ayrıcalıklı kullanıcı hesapları nasıl yönetilmektedir?

o     Ayrıcalıklı Hesap Parolaları nasıl korunmaktadır?

o     Uygulama kullanıcı hesapları nasıl yönetilmektedir?

o     Geçici kullanıcı hesapları nasıl yönetilmektedir?

o     Tanımlı erişimler için “Erişim Hakları Prosedürü” var mıdır? Etkinliği nasıl ölçülmektedir?

o     Kullanıcı bilgisayarlarındaki yönetici hakları kontrol edilmekte midir?

o     Uzaktan erişim hakları düzenli olarak gözden geçirilmekte midir?

o     Mevcut profiller iş ihtiyaçlarına uygunluk açısından periyodik aralıklarla kontrol edilmekte midir?

Güvenlik Teknolojilerinin Korunması

o   Güvenlik ürünleri (yazılım, donanım, altyapı) ve dokümanları nasıl korunmaktadır?

Kriptografik Anahtar Yönetimi

o     Kriptografik anahtarlar kullanılmakta mıdır?

o     Kullanılmakta olan kriptografik anahtarlar nasıl korunmaktadır?

Veritabanı ve Yazılım Güvenliği

o     Veritabanlarındaki bilgilerin güvenliği nasıl sağlanmaktadır?

o     Veritabanı betiklerinin (DDL, DML) çalıştırılmadan önce gözden geçirilmesi ve onay süreci var mıdır?

o     Yazılım geliştirme sürecinde güvenlik kontrolleri var mıdır? Nasıl uygunlanmaktadır?

o     Üretim ortamına aktarılacak sürümün kaynak kodları gözden geçirilmekte midir?

Zararlı Yazılımları Engelleme, Tespit ve Düzenleme

o     Yazılım lisans yönetimi nasıl yapılmaktadır?

o     Lisanssız yazılım kullanımını engellemek için alınan önlemler nelerdir?

o     Sunucu ve istemci sistemleri için zararlı kodlar için antivirus yazılımı kurulmuş mudur? Periyodik olarak zararlı kod taraması yapılmakta mıdır?

o     Antivirus yazılımının güncellemeleri nasıl yapılmaktadır?

o     Sunucu ve istemci işletim sistemlerinin güncellemeleri nasıl yapılmaktadır?

o     Güncellemeler nasıl yapılmaktadır? Test ortamı mevcut mudur?

o     Yüklenen uygulamalar ve güncellemeler için kayıt tutulmakta ve ilgililerine raporlanmakta mıdır?

Ağ Güvenliği

o     Ağa içeriden ve dışarıdan yapılan erişimleri yetkilendirmek, izlemek ve kontrol etmek için kullanılan güvenlik araçları (FW, IDS, ADS, IPS, Network Segmentation) nelerdir? Bunlar nasıl yönetilmektedir?

o     Ağ cihazlarının (router, firewall) yönetimi süreci nasıl işlemektedir? Talepler nasıl iletilmekte, onaylamaktadır?

o     Tanımlı kurallar nasıl yönetilmektedir? Talep/Onay mekanizması var mıdır? Geriye dönük takip edilebilmekte midir?

o     Cihaz kuralları yedeklenmekte midir? Yedekler nasıl saklanmaktadır?

o     Uzaktan erişim için kullanılan teknolojiler ve prosedürler nelerdir?

o     Kablosuz ağ bağlantısı var mıdır? Var ise nasıl yönetilmektedir?

o     Her sene periyodik olarak sızma ve saldırı testi gerçekleştirilmekte midir?

Hassas Verilerin İletimi

o     Hassas verinin sadece güvenli ortam ve kanallardan iletilmesi sağlanmakta mıdır? İletilen hassas verinin bozulmadığı, gönderenin kimliğinden emin olma, alıcının kimliğinden emin olma ve inkar edilemezlik şartları nasıl sağlanmaktadır?

o     Hangi verinin hassas olduğuna ve güvenli iletilmesi gerektiğine nasıl karar verilmektedir?

o     Hassas veri iletimini düzenleyen bir doküman bulunmakta mıdır?

o     Elektronik Mesajlaşma ve Şifreleme Prosedürü bulunmakta mıdır?

o     Gizli bilgi transferinin hangi kanallardan yapılacağını açıkça belirlemiş midir?

o     Şifreleme stratejisinin yönetimi uygun personelle sınırlandırılmış mıdır?

Güvenlik Olayı Tanımlaması

o     Güvenlik olayları tanımlanmış mıdır?

o     Güvenlik ihlal olayları nasıl toplanmakta, iletilmekte, kayıt altına alınmakta, eskale edilmekte ve gerekli aksiyon alınması sağlanmaktadır?

o     Acil Durum nasıl tanımlanmakta ve yönetilmektedir? Acil Durum Müdahale Ekibi var mıdır?

Fiziksel Güvenliği Sağlanması

o     Sistem odası giriş kapısı sürekli kapalı mı tutulmakta, erişim kontrollü olarak sağlanmakta mıdır?

o     Sistem Odası giriş talepleri için nasıl bir süreç işletilmektedir?

o     Sistem odalarına girişler yetkili personel ile kısıtlanmış mıdır? Nasıl kontrol edilmektedir?

o     Bakım, temizlik, kurulum vb amaçlarla Sistem Odası’na giren tedarikçiler için nasıl bir süreç işletilmektedir?

o     Sistem Odası giriş yetkileri ve kayıtları düzenli olarak gözden geçirilmekte midir?

o     Sistem Odası’ndaki cihazların sağlıklı çalışması için gerekli önlemler alınmış mıdır

o     Klima sistem, Yangın söndürme cihazları, ısı sensörü mıdır? Kontrolleri ve bakımları yapılmakta mıdır? Kayıtları var mıdır?

o     Sistem Odası’nın yeri hangi kriterlere göre seçilmiştir? Örneğin; deprem riski varsa, yapı güçlendirilmesi yapılmış mıdır?

o     Su baskını için yükseltilmiş tavan, nem ölçer var mıdır?

o     Hırsızlık vb için CCTV sistemi, güvenlik görevlisi vb var mıdır?

o     Fiziksel Güvenlik Kontrolleri otomatize edilmiş midir?

İş Sürekliliğinin Sağlanması ve Bilginin Yedeklenmesi

o     YK onaylı İş Sürekliliği Planı var mıdır? Gerekli roller belirlenip düzenli aralıklarla test edilmekte midir? Sonuçları ilgililerine raporlanmakta mıdır?

o  Bilgi-Veri Sınıflandırması ve İş Etki Analizleri’ne göre yedekleme ve geri dönüş süreleri belirlenmiş midir?

o     Kritik bilgilerin yedekleri şifreli olarak alınmakta mıdır?

o     Alınan tüm yedeklerin güvenliği nasıl sağlanmaktadır?

o     Yedekler için geri dönüş testleri yapılmakta mıdır?

Bilginin İmha Edilmesi

Bilginin imha edilmesi için yazılı prosedürler var mıdır? İşletilmekte midir?

Güvenlik Testi, Gözetleme ve İzleme

o     Mevcut güvenlik uygulamalarının/süreçlerinin etkinliği nasıl ölçülmektedir?

o     Belirli aralıklarla Bağımsız Güvenlik Denetimi yaptırılmakta mıdır?

o     İç denetim tarafından periyodik denetim çalışmaları gerçekleştiriliyor mu?

o   İz kayıtlarının yönetilmesine ilişkin prosedür var mıdır? (izlenmesi, raporlanması, saklanması) Etkinliği için kanıt var mıdır?

 

Umarım faydalı olmuştur…bir sonraki makalede görüşmek üzere….

COBIT Nedir..?

COBIT NEDİR?

 C.O.B.I.T.
Control Objectives for Information and Related Technology (COBIT)
COBIT, iş ihtiyaçlarına göre bilgi sistemlerinin ne kadar hizmet verdiğinden emin olunmasını sağlayan öneriler bütününden oluşan bir yapıdır.

COBIT, IT Governance Institute (ITGI) tarafından yayınlanan, bir etki alanı veya süreç çerçevesi içinde iyi uygulamaları bir araya getiren, yönetilebilir faaliyetleri mantıklı bir yapı doğrultusunda sunan bir bilgi kaynağıdır. COBIT daha çok yönetime odaklanmak yerine kontrollere odaklanmaktadır. Bu iyi uygulamalar, “IT yatırımlarının, servis sunumuna odaklanmasını ve işler kötü gittiğinde karar verilmesini sağlayan bir ölçüt belirlenmesini sağlar.”

COBIT, IT yönetim çerçevesinde aşağıdaki sorulara yanıt verir:

1- Neler tanımlanmalı ?
2- Neler ölçülmeli ?
3- Neler otomatize edilmeli ?
4- En iyi pratikler nelerdir?
5- IT kontrollerini nasıl yapmalıyız ve fayda-maliyet analizini nasıl yaparız?
6- Hedefler ve anahtar metrikler nelerdir?
7- IT işlevlerinin yerine getirilememe riskleri nelerdir?
8- Başkaları ne yapıyor ve nasıl yapıyor?
9- Kurumun IT olgunluğunu diğerlerine kıyasla nasıl ölçebiliriz?
10-Kurumun IT gelişim stratejisi nedir?

COBIT’in temel amacı süreç performans metriklerini ve olgunluk modellerini belirleyerek ve BT’nin iş sorumluluklarını tayin ederek, iş hedefleriyle BT hedeflerini bağdaştırmaktır.

Birçok kurum için bilgi ve bilgi teknolojileri en değerli fakat en az anlaşılan varlıktır. IT yönetişimi; değer, risk ve kontrol üzerine kuruludur. COBIT IT yönetişimi için temel hedefleri ve bileşenleri sunar.

COBIT, bu hedeflere ulaşılmasını aşağıdakilerle sağlar:

1- İş gereksinimlerine bağlantı kurarak.
2- IT aktivitelerini genel kabul görmüş süreç modelleriyle organize ederek.
3- Esas gerekli IT kaynaklarını ayırt ederek.
4- Yönetim kontrol hedeflerini tanımlayarak.

COBIT, genel anlamda dört ana başlık altında öneriler getirir ve kontrol noktaları belirler:

* Planlama ve Organizasyon

* Tedarik ve Uygulama

* Teslimat ve Destek

* İzleme ve Değerlendirme

COBIT GEREKLİ MİDİR….? NEDEN….?

 COBIT ya da benzer çerçevelerin gerekliliği, BT’nin denetlenmesi ihtiyacından doğmuştur. Dünyada ve Türkiye’de bilgi sistemlerinin yeterince denetlenmemesinden kaynaklanan bazı sıkıntılar bazı standart ve yönetim çerçevelerinin önemini artırmıştır. Aşağıdaki örnekler, BT’nin ve BT yönetimlerinin denetlenme ve izlenme eksikliklerinin yol açtığı bazı olayları göstermektedir

 

 

Firma	Olay	Sonuç
AT&T	Ana Switch Problemi (1998)	18 Saat Boyunca Pek Çok Kredi Kartı Kullanım Dışı
Enron	Finansal Bilgi Raporlamasında Sahtekarlık	60 Milyar USD Zarar
İmar Bankası	Çifte Kayıt Sistemi

 

COBIT ve benzer standart ve çerçevelere ihtiyacı iki ayrı açıdan ele almak mümkündür:

1-    Kamu: Finans sektörü başta olmak üzere, BT’nin yoğun ve vazgeçilmez olduğu büyük kurumlardaki denetim ve izleme faaliyetleri kamu için vazgeçilmez olmaya başlamıştır. İmar Bankası skandalı bunun en büyük tetikleyicisidir.

2-    Özel Sektör: Gerek uluslararası kurum ve kuruluşlarla işbirliği yapan firmalar, gerekse uluslar arası firmaların Türkiye’deki kuruluşları, uluslar arası standartlarda iş yapabilmek, müşterilerini koruyabilmek ve devamlılıklarını sağlayacaklarını garanti etmek için bazı standart ve çerçevelere uyumlu olduklarını belgelemek isterler. Bazı firmalar çeşitli sebeplerle yasal olarak belli şartlara uymak durumundadırlar.

 

ULUSLAR ARASI STANDARTLAR VE ÇERÇEVELER İLE KARŞILAŞTIRILDIĞINDA COBIT HANGİ KONULARDA ÖNE ÇIKIYOR?

 COBIT, BT süreçleri ve işleyişi ile ilgili önerilerini yaparken ve en iyi uygulamaları gösterirken çok geniş ve detaylı bir çerçeve çizmektedir. Ayrıca COBIT;

–        Süreç tesisi ve denetimi odaklıdır.

–        Bütüncül yaklaşıma sahiptir.

–        Alanlar dengeli ve hiyerarşik yapılandırılmıştır.

–        Ölçme ve Derecelendirme Mekanizması sağlıklı ve tutarlıdır.

–        Etkili bir kurumsal yönetişim aracıdır. (Yönetilebilirliğin sağlaması)

–        Teknolojiden bağımsızdır. (Hangi teknolojiyi kullanarak yapılacağını önemsemez. Bu konudaki tercihleri yöneticilere bırakır.)

–        ISO 17799, ITIL, SOX, COSO yaklaşımlarına uygundur.

–        AB Mevzuatında BT Denetimi çerçevesi olarak uygunluğuna onay veren düzenlemelerden oluşur.

COBIT BT’Yİ HANGİ ALT KATEGORİ VE KIRILIMLARDA İNCELİYOR?

 BT denetimlerinde temel prensipler şunlardır:

 Risk odaklı denetim 

–        Üstlenilen Riskler (Bankalar risk almak zorundadır)

–        Tesis edilen Politikalar, oluşturulan süreçler ve prosedürler

Süreç denetimi yaklaşımı (gerektiğinde ayrıntıya inebilme)

Üçlü sac ayağı

–        İç denetim

–        Bağımsız Denetim

–        Kamusal Denetim

Denetçiler arası İşbirliği

Tek başlılık

–        Denetim alanlarının bütünselliği (Finans + BT)

–        Sorumlulukların Tespiti

Denetim türleri;

–        Uygulama kontrollerinin denetimi,

–        Genel kontrol alanlarının denetimi,

–        Genel kontroller ile uygulama kontrollerinin birlikte gerçekleştirildiği Geniş kapsamlı denetim.

Umarım yararlı olmuştur, bir başka makalede  görüşmek üzere….